WickrMe Ransomware

Microsoft SharePoint sunucularını hedef alan yeni bir fidye yazılımı operasyonu başladı ve bu belirli giriş noktasının özel kurumsal ağlara sızmak ve fidye yazılımı dağıtmak için kullanıldığı ilk kez oldu. Benzer kampanyaların önceki hedefleri Microsoft Exchange e-posta sunucuları, Citrix ağ geçitleri, F5 BIG-IP yük dengeleyicileri ve Pulse Secure, Fortinet ve Palo Alto Network tarafından yayınlanan VPN ürünleriydi.

Saldırı kampanyası, kurbanların siber suçlulara ulaşmak için kullanabilecekleri iletişim kanallarının bir parçası olarak Wickr şifreli IM hesaplarının kullanılması nedeniyle güvenlik satıcıları tarafından WickrMe Ransomware (Merhaba) olarak izleniyor. WickMe Ransomware tarafından istismar edilen ilk uzlaşma vektörü, Microsoft'un SharePoint ekip işbirliği sunucularını etkileyen bilinen bir güvenlik açığıdır (CVE-2019-0604). Bu açıktan yararlanma, tehdit aktörünün SharePoint sunucusu üzerinde denetim kurmasına ve bozuk bir Web kabuğu sunmasına olanak tanır. Bir sonraki adım, bir Cobalt Strike işaretçisi kurarak bir arka kapı oluşturmayı içerir. Bilgisayar korsanları daha sonra, tehlikeye atılan sistemlerde nihai yükü (Hello Ransomware tehdidi) bırakacak ve çalıştıracak otomatik PowerShell komut dosyalarını çalıştırabilir.

Firmalar Exploit Hakkında Uyarıldı

Geçtiğimiz yıl Microsoft, fidye yazılımı tehditlerinin teslimi için ağ geçitleri olarak ağ cihazlarındaki güvenlik açıklarını hedefleyen gözlemlenen saldırı kampanyalarındaki önemli artışı ele alan bir blog yazısı yayınladı. Makalede bahsedilen belirli güvenlik açıkları arasında CVE-2019-0604 de vardı. Microsoft, şirketlere, yakında fidye yazılımı grupları tarafından hedef alınacağına inandıkları açıklardan yararlanma koleksiyonunu yamalamalarını istiyor.

Aynı SharePoint sunucusu hatası, daha önce siber suçlular, devlet destekli casusluk grupları ve APT'ler (Gelişmiş Kalıcı Tehditler) tarafından başlatılan kampanyalarda da kullanıldı.